【技术实现步骤摘要】
本专利技术涉及一种基于拟态工控防火墙的流量处理方法和系统,属于工控防火墙。
技术介绍
1、工控防火墙部署于隔离管理网与控制网之间、控制网的不同安全区域间或关键设备与控制网之间,生产的实时性要求工控防火墙必须以生产的数据传输速率为主,这就导致了工控防火墙自身存在许多缺陷,加之工业互联网快速发展,物联网技术的壮大使得传统的工控系统逐渐与开放互联网进行连接融合,这就导致工业网络被攻击的可能性越来越大,威胁与日俱增。
2、工控防火墙具有先天的缺陷,即性能与安全性的矛盾。科技的发展进步要求工控防火墙的安全性相对应的提高,但是防火墙安全系数越高,所需要做的工作就越多,数据解析的深入使得工控防火墙的性能大幅度下降,违背了工控行业实时性优先的要求,因此现有的工控防火墙,主要是被动防御,并使得网络安全易攻难守,不利于工控防火墙的健康发展以及推广使用。
3、本
技术介绍
中公开的信息仅用于理解本专利技术构思的背景,因此它可以包括不构成现有技术的信息。
技术实现思路
1、针对上述问题或上述问题之一,本专利技术的目的一在于提供一种构建一个或多个工控防火墙异构体以及可靠性分析模型、正确性分析模型,对访问流量进行规则匹配,并对匹配结果进行可靠性分析,确定匹配结果是否有效;同时对匹配结果进行正确性分析,确定匹配结果是否可信;从而可以准确判定访问流量是否为能够进入工业服务器的可信流量,因而可使得拟态工控防火墙同时具备异构性、动态性,大大提高工控防火墙的安全性,方案科学、合理,切实可行的基于拟态
2、针对上述问题或上述问题之一,本专利技术的目的二在于提供一种构建一个或多个工控防火墙异构体,通过改变工控防火墙的内部架构、运行机制等因素,对可能的攻击进行预处理工作,达到生物界拟态现象的防御效果,迷惑攻击者,因而可以显著提高攻击的难度和代价,从源头改变网络安全易攻难守的现状,推动网络安全领域的发展的基于拟态工控防火墙的流量处理方法和系统。
3、针对上述问题或上述问题之一,本专利技术的目的三在于提供一种设置动态选择模块、针对每个异构工控防火墙的可靠性分析模块、针对单次处理的正确性分析模块、自我学习模块、工业设备之间数据传输加密模块、工业服务器内部流量感知模块对工控防火墙进行缺陷的弥补;通过一个或多个工控防火墙异构体,使得拟态工控防火墙同时具备异构性、动态性,大大提高工控防火墙的安全性;并通过设置自我学习模块、数据加密模块、流量感知模块进一步提高了攻击的难度与代价,从而大幅度提高工控防火墙的防御能力,进而提高工业系统的安全指数的基于拟态工控防火墙的流量处理系统。
4、为实现上述目的之一,本专利技术的第一种技术方案为:
5、一种基于拟态工控防火墙的流量处理方法,包括以下步骤:
6、第一步,获取某用户的访问流量;
7、第二步,利用预先构建的一个或多个工控防火墙异构体,对访问流量进行规则匹配,得到匹配结果;
8、第三步,通过预先构建的可靠性分析模型,对匹配结果进行可靠性分析,确定匹配结果是否有效;
9、基于预先构建的正确性分析模型,对匹配结果进行正确性分析,确定匹配结果是否可信;
10、第四步,当匹配结果是有效且匹配结果可信时,判定访问流量为能够进入工业服务器的可信流量;否则,访问流量进行结算处理。
11、本专利技术经过不断探索以及试验,构建一个或多个工控防火墙异构体以及可靠性分析模型、正确性分析模型,对访问流量进行规则匹配,并对匹配结果进行可靠性分析,确定匹配结果是否有效;同时对匹配结果进行正确性分析,确定匹配结果是否可信;从而可以准确判定访问流量是否为能够进入工业服务器的可信流量,因而可使得本专利技术的拟态工控防火墙同时具备异构性、动态性,大大提高工控防火墙的安全性,方案科学、合理,切实可行。
12、进一步,本专利技术构建一个或多个工控防火墙异构体,通过改变工控防火墙的内部架构、运行机制等因素,对可能的攻击进行预处理工作,达到生物界拟态现象的防御效果,迷惑攻击者,因而可以显著提高攻击的难度和代价,从源头改变网络安全易攻难守的现状,推动网络安全领域的发展。
13、作为优选技术措施:
14、所述第二步中,构建一个或多个工控防火墙异构体的方法如下:
15、步骤21.部署m个工业控制服务器s={si|i=1,2,...,m},其中si为第i个工业控制服务器;
16、步骤22.每个工控服务器上部署n个工业控制环境微容器c={cj|j=1,2,...,n},其中cj为第j个工业控制环境微容器;
17、步骤23.对各工业控制环境微容器cj部署异构操作系统o、异构工控防火墙平台i、异构匹配规则库g、工业硬件信息h,使得第j个工业控制环境微容器cj完成异构化处理;其表达式如下:
18、cj={(oj,ij,gj,hj)|j=1,2,...,n};
19、步骤24.设置异构工控防火墙下线规则,用于对各个工控防火墙进行环境配置、工业信息配置进行重置。
20、作为优选技术措施:
21、工业硬件信息h至少包括硬件信息、硬件通信协议和硬件工作环境;
22、硬件通信协议包括opc、modbus、dnp3、iec104、iec61850、mms和s7;
23、或/和,从虚拟化技术、操作系统、微容器软件、相关联的工业信息的角度,完成工业控制环境微容器的异构化处理;
24、所述操作系统包括windows server或/和centos或/和ubuntu或/和redhat;
25、所述虚拟化技术包括kvm或/和xen;
26、所述微容器软件包括docker或/和solaris containers或/和podman。
27、作为优选技术措施:
28、设置异构工控防火墙下线规则的方法如下:
29、(2.1)在保证上线工控防火墙个数不少于m*n/2的前提下,采用多种置换算法结合的模式,每隔t时间对各工控防火墙进行下线清洗;
30、(2.2)根据实际生产环境所需条件、生产中各个环节需要的安全等级、生产环境硬件基础所能提供的实时计算能力,对涉及的工控防火墙进行下线清洗;
31、(2.3)根据各个工业控制环境微容器状态、规定时间内可能遭受攻击的次数和攻击危害等级,对处于相对较高危险等级的工业防火墙进行下线处理。
32、作为优选技术措施:
33、利用工控防火墙异构体得到匹配结果的方法如下:
34、基于负载均衡,对访问流量进行处理,得到均衡结果;
35、根据均衡结果,从m*n个工控防火墙异构体中动态随机地选择k个工控防火墙异构体,其中k≤m*n;
36、然后将访问流量分配到选择的k个工控防火墙异构体上,进行规则匹配,得到匹配结果;
37、所述规则包括特征词或/和黑名单或/本文档来自技高网...
【技术保护点】
1.一种基于拟态工控防火墙的流量处理方法,其特征在于:
2.如权利要求1所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
3.如权利要求2所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
4.如权利要求2所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
5.如权利要求4所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
6.如权利要求1所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
7.如权利要求1所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
8.如权利要求1-7任一所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
9.如权利要求8所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
10.一种基于拟态工控防火墙的流量处理系统,其特征在于:
【技术特征摘要】
1.一种基于拟态工控防火墙的流量处理方法,其特征在于:
2.如权利要求1所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
3.如权利要求2所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
4.如权利要求2所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
5.如权利要求4所述的一种基于拟态工控防火墙的流量处理方法,其特征在于:
【专利技术属性】
技术研发人员:孙歆,孙炜,陈刚,刘维特,王政,李韬睿,孙昌华,
申请(专利权)人:国网浙江省电力有限公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。